PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Forenspam-Bots: seltsame Rückläufer



webeinspunktnull
14.02.2012, 21:48
habe den ganzen Tag verteilt mal wieder Bounces einer angeblich von mir gemailten Sache... war ja lange Ruhe vor der Thematik.
sind auch 2 Attaches dabei die ich aber nicht öffnen werde

his is the mail system at host n11.mar3k.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<header><***@gmail.com>: host
alt1.gmail-smtp-in.l.google.com[74.125.127.26] saID: [ID filtered]
are trying to contact is receiving mail at a rate that 550-5.2.1 prevents
additional messages from being delivered. For more 550-5.2.1 information,
please visit 550 5.2.1
http://support.google.com/mail/bin/answer.py?answer=6592
no6si10970017igc.67 (in reply to RCPT TO command)</header>

<header>Return-Path: <>
Delivered-To: GMX delivery to
Received: (qmail invoked by alias); 14 Feb 2012 xx:xx:xx -0000
Received: from n11.mar3k.de (EHLO n11.mar3k.de) [85.214.229.37]
by mx0.gmx.net (mx047) with SMTP; 14 Feb 2012 xx:xx:xx +0100
Received: by n11.mar3k.de (Postfix)
ID: [ID filtered]
Date: Tue, 14 Feb 2012 xx:xx:xx +0100 (CET)
From: MAILER-DAEMON [at] n11.mar3k.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: t
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="***"
Content-Transfer-Encoding: 8bit
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnGL2vqOgpaBYL16oitsMrgDt/NQNpSCZFSflc5
T+wmVvGhi6RhogBTswdYB2kk3o15Hlt/gUmwIral55M18+4SHGsx9LfzSPwADiL9ANcQLgvcwi8V
QA648LCI66Q/GGR4Wp0xLl9Yjb91Jv7QrOS0dKV502Uv8O3V1;
X-GMX-UID: [UID filtered]
X-Flags: 1401
</header>


<***@gmail.com>: host
gmail-smtp-in.l.google.com[173.194.69.27] saID: [ID filtered]
trying to contact is receiving mail at a rate that 550-5.2.1 prevents
additional messages from being delivered. For more 550-5.2.1 information,
please visit 550 5.2.1
http://support.google.com/mail/bin/answer.py?answer=6592 i2si8877642bke.73
(in reply to RCPT TO command)


<***@e-mail.net>: host zoso.email.net[209.219.235.126] saID: [ID filtered]
5.1.1 <***@e-mail.net>... User unknown (in reply to RCPT TO
command)

Mittwoch
14.02.2012, 23:25
Was ist daran seltsam? Die Erklärung findet sich doch in der im Header genannten URL: http://support.google.com/mail/bin/answer.py?hl=de&answer=6592

Anscheinend war bei einem Spamrun eine von Dir verwendete Mailadresse als gefälschter Absender eingetragen. Ein Google-Mail-Benutzer, der als Empfänger eingetragen war, erhielt offenbar in sehr kurzer Zeit (Sekunden oder Minuten) extrem viele Mails, was entweder ein Anzeichen für ein dumm konfiguriertes Zombienetzwerk oder für einen Missbrauch der Mailadresse für welche Zwecke auch immer ist. Google behält sich (wie nahezu alle anderen Mailprovider auch) in den AGB vor, technische Maßnahmen zu ergreifen, um das Netzwerk vor Missbrauch zu schützen. Dazu gehört dann eben auch ein Bounce, wenn die Quote an empfangenen Mails eines Postfachs in zu kurzen Zeiträumen zu groß wird.

Schönen Gruß
Mittwoch

P.S.: Da wir nicht ausschließen können, dass es sich bei den betroffenen um unbescholtene Dritte handelt, habe ich die Mailadressen anonymisiert.

webeinspunktnull
15.02.2012, 10:05
und heute wieder ne Menge Rückläufer, ist nicht nur googlemail betroffen

was ich seltsam finde dass bei jedem Rücklauf das hier steht: This is the mail system at host n11.mar3k.de. Wie passt diese URL dazu...

Solli
15.02.2012, 10:12
Hat das vielleicht was mit deinem Provider zu tun?

webeinspunktnull
15.02.2012, 10:14
habe die Attachements geöffnet... Sind hunderte generierte Passwörter und Benutzernamen für ein Forum was ich mal für eine Art virtuelles Tamagotchi erstellt habe auf Wunsch der derer die damit gespielt haben und nicht wussten wie man ein Forum erstellt. Dieses Forum ist auch gefloodet von Spameinträgen. Es ist wohl gehijacked, da es dort nur mit Anmeldung und registrierung mit Double Opt in reingeht. Ich habe das Bord den Mods überlassen weil ich diese Tierchen nicht spiele, habe nur die Technik ect nach Wunsch und das Layout gemacht. Bis dato war auch nie was Auffälliges, die meisten haben wohl eh irgendwann den Spass an den Tierchen verloren denn das Forum dümpelt nur noch vor sich hin und wird derzeit massiv zugespammt und wohl auch massivst mit gefakten Neuanmeldungen zugemüllt...

werd das Bord löschen, da die meisten eh seit 2009 nichts mehr gemacht haben... hatte die bis 2008 supportet, danach haben sie alleine gearbeitet

cmds
15.02.2012, 10:17
n11.mar3k.de = 85.214.229.37


IP-Adresse: 85.214.229.37
Provider: Strato AG
Organisation: Strato Rechenzentrum, Berlin
Region: Berlin (DE)

Dürfte irgendwie mit GMX zusammenhängen? Nameserver?

webeinspunktnull
15.02.2012, 10:24
habs jetzt diese URL ist eine von dem Betreiber des phpBB Systems was er als Forenservice anbietet für Leute die keines installieren wollen...
ich denke mal ich liege richtig in der Annahme dass das Bord von Bots heimgesucht wird, Fakeanmeldungen durchgehen und damit das Bord mit Spam überzogen wird, die geklauten Mailadressen laufen dann bei mir als Rückläufer ein... Obwohl wäre es okay bei Rückläufern dass ich sehen könnte als Admin welche Passwörter die User haben die sich anmelden? Hier eindeutig aber eindeutig Fakes.

webeinspunktnull
15.02.2012, 10:43
das sind diese ganzen angeblichen "Neuen" - hinter deren Webseiten verbergen sich SpamURLs, in den den Unterforen Spampostings.
Lustig alle haben am jeweiligen gefakten Registrierungsdatum Geburtstag... Profile sind auch angelegt... Und obwohl es keine Gastfunktion gibt, die ist um dumme Kommentare und um Spam zu vermeiden nicht aktiviert worden war, gibt es auch mehrfach Spam von "Gast"

Registrierungsdati decken sich auch mit dem ersten Auftreten der Rückläufer.. Ist wohl eher beim Thema Forenspam aufgehoben?

3677

obwohl in der Zeit auch die Foren gewartet wurden laut Systemmeldung??
Am 14 und 15.02.2012 führen wir einige Wartungsarbeiten am pbv2 System durch. Diese sind notwendig damit wir unter anderem den Konverter wieder reaktivieren können.

Im Wartungszeitraum rechnen wir mit Nichterrichbarkeit der Foren und werden versuchen diese so kurz wie nur möglich zu halten. Informiert bitte eure User!

cmds
15.02.2012, 10:50
Forenspambots

hier kannst Du das prüfen, ob die bekannt sind: http://www.stopforumspam.com/search

einige Nicks kommen mir bekannt vor, habe ich dort auch schon eingetütet

hier http://www.stopforumspam.com/contributions gibt es MODS für phpBB etc.. um Anmeldungen von Bots grösstenteils im Vorfeld schon zu verhindern

webeinspunktnull
15.02.2012, 10:56
Um das Forum zu löschen muss ich es erst deaktivieren was ich jetzt gemacht hab. Nach 90 Tagen würde es dann automatisch gelöscht wegen Inaktivität weil dann keiner mehr was schreiben kann.
Ich wunder mich, dass es überhaupt noch da ist weil seit 2009 schrieb keiner mehr was, erst jetzt seit diesem Spamrun auf das Forum. Und im Adminbereich steht sobald in einem Forum seit 365 Tagen nichts mehr passiert ist wirds auch automatisch gelöscht wegen Inaktivität. Die letzte Registration war 2010 von einem Nullposter - davor alle Registrationen von Leuten die ich kenne im Jahr 2008 - 2009. Und 2010 ist auch mehr als 365 Tage her.

Es war auch das Antidinges aktiviert wo man bevor man sich registrieren konnte eine Frage beantworten musste, aber wohl auch nicht Botresistent? Genau wie man Captchas ja umgehn kann?

webeinspunktnull
15.02.2012, 11:06
danke Dir cmds.. ich geh mal lookie lookie machen... hab das Bord echt schon vergessen, war ja nur die Tante die es für die wo es haben wollten erstellt und gelayoutet hatte, weil die das nicht konnten. War wie diese virtuellen Tierchen ne Momentsache für die User- Sie wollten sich dort über ihr " Hobby " austauschen".. Taten sie ne Zeit auch. Verloren dann wies aussieht an Tierchen sowie Forum das Intresse. Die Tierchen sterben angeblich nicht wenn sich niemand mehr kümmert, können auch nicht gelöscht werden. Aber das Forum kann ich jetzt wohl guten Gewissens kicken - es hat sich ja auch keiner mehr gekümmert. Mein Hobby wars nicht. Mit der 90-Tage Inaktivität und danach Komplettlöschung dürfte der Spamrun und die Rückläuferflut wohl beendet sein... Habe die Attaches in den Rückläufern in Sicherheit geöffnet, damit ich mir nix einfange vorsichtshalber. Aber als Inhalt waren es die Anmeldedaten nebst PWs und Begrüßung der " Neuen ". Etliche der geklauten verwendeten Mailaddys haben dann zu mir gebounced nehm ich an.

cmds
15.02.2012, 11:17
mindestens 75% der Anmeldeadressen der Bots sind gefaked und nichtexistent (daher auch die Bounces) - die sind nur an schneller, einfacher Registrierung und dem Absetzen ihres Spams interessiert - umständliche Mailbestätigung ist denen zuviel Aufwand :p

Mittwoch
15.02.2012, 11:30
Es war auch das Antidinges aktiviert wo man bevor man sich registrieren konnte eine Frage beantworten musste, aber wohl auch nicht Botresistent?

Die Idee der Programmierer mit der Frage anstelle des Captcha ist nett, aber da die Anzahl der Fragen, die gestellt werden, sehr überschaubar ist, kann man als Botprogrammierer leicht einen schnellen Abgleich mit einer irgendwo vorgehaltenen Frage-und-dazu-passende-Antwort-Datenbank einbauen. Ich bekomme zum Beispiel bei der Suchfunktion von diversen Foren, die unter vBulletin laufen, bei nahezu jedem Versuch die Frage "What ist the colour of blue sky?" gestellt. Wenn ich also einen Bot nur auf die Eingabe von "blue" programmieren würde, hätte ich schon ein brauchbares Werkzeug, um Foren in die Knie zu zwingen.

Schönen Gruß
Mittwoch

webeinspunktnull
15.02.2012, 11:31
;-))
Fands halt seltsam dass bei Jedem Bounce diese URL dabei war, hat dann aber auf die richtige Fährte geführt nachdem ich diese Attaches geöffnet hab und somit rausgefunden, dass der auch diese Foren anbietet. In der Richtung hatte ich Bounces noch nie.

Hatte auch schon lange keine mehr wo man meine Emailadresse als Absender missbraucht hat, wie das vonstatten geht und warum dann Bounces kommen weiss ich ja. Dies hier war dann doch etwas Spezifischer und klein wenig anders. Opfer war dann nicht im Grunde meine Mailadresse für Mailspams sondern das von mir vor Äonen für Dritte konfigurierte vergessene Forum.

Könnte man diesen " Fall" nicht ins Forenspamforum verschieben??

ich danke Euch Mittwoch "Huhngeheuer" und cmds für den Input und Support der zur Lösung führte... Ihr seID: [ID filtered]

Bin zwar nicht spamfrei, aber zu 99,9% Spam im Spamordner nicht in der Box... Sonstwo auch alle Spam rausgefiltert und geblockt, somit bekomme ich sie fast kaum noch zu sehn und ärgert mich nicht mehr... JoeJobs gabs auch keine mehr gegen mich und ich klicke auch keinen Mist in Form von Videos,Links und Co an... informiere aber nach wie vor die Newbs und DAUS ;-D Eigentlich ruhig an der Spamfront. Meine eigentlich Wegwerfadresse nur für Foren ect ist zwar verbrannt, wird aber anscheind kaum noch gebraucht. Und die für die ernsthafte Kommunikation ist komischerweise spamfrei obwohl die auch Leute haben die gutgläubig hie und da mal ganz unbedarft ein Videolink klicken der ihnen nicht bekommt. Oder andres.

Mittwoch
15.02.2012, 11:48
Könnte man diesen " Fall" nicht ins Forenspamforum verschieben??

Ja, kann man. Oder besser gesagt: kann ich, und habe ich auch. ;) Ich habe zudem den Titel des Themas ergänzt.

Schönen Gruß
Mittwoch

webeinspunktnull
15.02.2012, 12:17
ich danke Dir!!! Dir auch einen schönen Gruß


100% Sicherheit wirds wohl nie geben.. alle diese Captcha und Fragesysteme sind wohl knackbar... Die meisten nehmen eh die Standardfrage die eigentlich jeder mit etwas Geschick beantworten könnte - von den absolut unvergessbaren, weil sowas von einfach zu merkenden PWs mal abgesehn, weil die meisten echt Geburtsdatum ect benutzen...

Hatte ne Zeitlang ein CMS gemanaged, für Dritte mit Inhalten gefüllt und gepflegt. War dann auch zu den Schulungen, aber um den Oberadmin zu unterstützen, der davon eigentlich keinen Plan hatte. Alle diese CMS waren unter einem HauptCMS als UnterCMS zusammengefasst. Diese UnterCMS wurden dann von den jeweiligen Webmastern geflegt die da geschult wurden. Ich sollte unterstützen um den Webmastern die Nutzung des CMS beizubringen, waren alle Jungfrauen... Ich dachte ich Fall vom Glauben ab als der Admin ( und Öffentlichkeitsbeauftragter ) des HauptCMS dann in der Schulung kundtat dass sich jeder unter seiner URL mit dem SubCMS auf seiner Hierarchie wo er Zugriffsrechte hat mit jeweiligervornachname001 und dem Passwort 123456 einzuloggen soll. Es wurde nicht erwähnt das Passwort zu ändern...
In der Schulungspause hab ich dann weil ich die Namen der Leute kannte mich einloggen können in alle ihre UnterCMS und in das HauptCMS! auch in die der vergangenen Schulungen, da ich deren Teilnehmer auch kannte.

Wäre ich jetzt jemand mit krimineller Energie gewesen hätte ich jetzt munter Inhalte, Texte, Passwörter, Zugriffsrechte usw ändern können. Da ich ja auch ins HauptCMS reinkam. Es gab 3 Hierarchien von Rechten bei dem CMS.

Als die aus der Pause kamen teilte ich dem geschockten Admin und den Webmastern erst mal mit dass es an der Zeit wäre dass sie erst mal die PW ändern und warum. Lange Gesichter, Erstaunen. Wie ich da reingekommen wäre und wie ich dass den rausgefunden habe und so. Ja Klar gleicher Aufbau Benutzername - Universalpasswort was nicht geändert wurde??? Was auch noch öffentlich vor allen auspossaunt wird? Ihr Glück war, dass die meisten nicht weiterdachten, schon gar nicht destruktiv. Lieb und naiv eben... Ja meinst Du denn das Passwort klaut jemand, oder hackt jemand? Woher will der denn mein Benutzernamen wissen? Das tut doch niemand... Wenn da nur einer dabei gewesen wäre mit Ahnung von der Materie der gehässig genug gewesen wäre jemandem eine reinzuwürgen...

Ich sollte dann Oberadmin und Schulungsleiter werden, hab ich abgelehnt. War nur zur temporären Unterstützung bei 2 Schulungen dabei, weil ich mehr über die Handhabung des CMS wusste als Admin und Öffentlichkeitsbeauftragter der dafür zuständig war. Ich habe mein PW nach Erhalt direkt geändert, dachte andre wissen dass man das macht. Hatte dieses SubCMS auch nur für ne Zeit gemanaged und gepflegt bis der Webmaster soweit war es zu übernehmen und benutzen zu können. Ist doch eigentlich schon fahrlässig oder? Gleiches PW für Alle, dieses kundtun ohne darauf hinzuweisen, dass man es ändern sollte...

Bombenforum! Hatte einen Timeout und Text war weg. Diese Wiederherstellungsfunktion ist ja klasse. Manchmal hat man das Glück und mit dem Backbutton ist der Text noch im Formular, aber oft genug ist es nicht der Fall. Zeigt dass das Antispamforum perfekt ist!! Wie Antispam und der e.V. ja auch ;-D


das war die am meisten benutze googlemailaddy und Benutzername der gebounced hatte

Willkommen auf ichbinjetztdeaktiviert Forum

Bitte halte diese E-Mail gespeichert, falls du dein Passwort vergessen solltest. Deine Login-Daten sind die Folgenden:

----------------------------
Username: garyarht
Passwort: ichbineinpasswortauszahlen
----------------------------

Das Passwort wurde nur verschlüsselt in unserer Datenbank gespeichert, wenn du es also vergisst, können wir es dir nicht mehr zusenden. Wenn du es trotzdem vergessen solltest, kannst du aber jederzeit ein neues anfordern.

Danke für deine Registrierung! und von diesem Nick gabs ne Menge Spam ins Forum

truelife
15.02.2012, 13:03
Die einzige Captcha-Eingabe, die derzeit wohl für Bots gänzlich unlösbar sein dürfte, ist Googles "ReCaptcha": http://www.google.com/recaptcha

cmds
15.02.2012, 13:10
veto -- auch das reCaptcha ist knackbar

http://www.heise.de/security/meldung/Googles-reCAPTCHA-angeknackst-888532.html
http://www.h-online.com/security/news/item/Google-s-reCAPTCHA-dented-888859.html

Captcha schützen mittlerweile definitiv nicht zu 100% - sie erschweren höchstens

übrigens setzen wir das hier auch ein, trotzdem landen noch viele Bots in der SpamBot Abfrage über StopForumSpam hier in der Warteschleife

Solli
15.02.2012, 13:58
Wenn man wirklich zuverlässig Bots von Menschen trennen will benötigt man schon einen Voight-Kampff-Test (http://de.wikipedia.org/wiki/Tr%E4umen_Androiden_von_elektrischen_Schafen%3F#Voight-Kampff-Maschine) - und das funktioniert auch nur solange Bots nicht zu Empathie fähig sind.

Im Ernst: Captchas können helfen, zumindest die schlechter programmierten Bots fern zu halten. Allerdings schließen sie auch häufig menschliche Benutzer aus, beispielsweise sind die meisten nicht Screen-Reader- bzw. Braille-tauglich. Manche Captchas sind auch für Menschen ohne Sehbehinderung schwer zu entziffern und dementsprechend lästig. Man muss also bei ihrem Einsatz immer Vor- und Nachteile abwägen.

Fragen wie die nach der Farbe des Himmels oder einfache Grundrechenaufgaben sind wengistens etwas behindertenfreundlicher, aber wie bereits erwähnt mindestens so einfach knackbar.

truelife
15.02.2012, 14:53
veto -- auch das reCaptcha ist knackbar

Ja, die Meldung stammt aber aus 2009. Mittlerweile verzerrt Google die Wörter, blendet Schlangenlinien darüber und blendet schwarze Punkte ein - die darüberliegenden Wortfragmente erscheinen dann weiß anstatt schwarz. Mitunter dreht Google dann auch noch das ganze Wort um 180 Grad.

Derzeit beißt sich die Warez-Szene die Zähne an ReCaptcha aus. Es gibt zwar die Möglichkeit, dass fremde Person die eigenen Captchas lösen - etwa über Dienste wie Captcha Brotherhood. Allerdings geht das nur solange, wie der User genügend Punkte hat, die er ausschließlich mit dem Lösen von Captchas für Dritte verdienen kann.

Solli
15.02.2012, 16:05
Nachdem die Diskussion jetzt schon zum Thema Captchas abgedriftet ist:

Das stimmt dass ReCaptcha erschwert wurde. Seit dem habe aber auch ich Probleme, die Wörter zu entziffern. Und ich bin mir ziemlich sicher, dass ich ein Mensch bin.

Um Captchas mit einem Bot zu lösen fallen mir prinzipiell zwei Möglichkeiten ein. Die erste ist ganz klassisch über Texterkennung. Ausgefeilte Algorithmen können auch verzerrte Zeichen erkennen und lassen sich auch von störenden Strichen und Punkten nicht ablenken. Das geht natürlich nur bis zu einem gewissen Grad - allerdings kann auch der Mensch das Ding irgendwann nicht mehr lesen. Somit ist jedes menschenlesbare Captcha prinzipiell auch maschinenlesbar.

Es gibt aber noch eine andere Methode, die vom Prinzip her ähnlich wie Captcha Brotherhood ist: Man lässt den Code einfach von einem Menschen abtippen. Anders als beim Brotherhood wissen die anderen aber gar nicht, dass sie mir helfen: Man blendet die zu entschlüsselnden Bilder einfach auf der eigenen Seite ein und wartet bis ein Besucher die Lösung eintippt. Das funktioniert zwar zugegebenermaßen nicht bei kurzen Verfallszeiten. Überhaupt muss die eigene Seite ausreichend stark frequentiert sein. Aber prinzipiell kann man damit jedes menschenlesbare Captcha entschlüsseln.

Diese Methode habe ich mir übrigens nicht selbst ausgedacht. Es ist nur eine Abwandlung eines bekannten Man-in-the-Middle-Angriffs auf Online-Banking, wie er zum Beispiel gegen iTan eingesetzt wurde. Die Banken sind mittlerweile größtenteils auf sicherere Verfahren wie mobile TAN oder "smart TAN" umgestiegen. Ob uns derartige Schutzmechanismen auch bald bei Foren bevorstehen? Vielleicht benötigt man ja bald einen elektronischen Personalausweis, um sich bei verschiedenen Foren anzumelden. *schauder*

Chinchilla
16.02.2012, 11:03
Die ReCaptcha-Services arbeiten in etwa so:
1. Hashwert für die Grafik ermitteln, abgleich mit gespeicherten Grafiken in einer Datenbank
2. Nicht erkannt, dann OCR-Versuch
3. OCR negativ, dann einem Menschen zur Lösung vorlegen. Das sind meist günsige Aushilfen, die den ganzen Tag am PC hängen und dann spontan eine Grafik durch einen Hintergrunddienst vorgelegt bekommen.
Waren Punkte 2 oder 3 erfolgreich, wird das Ergebnis in der Datenbank abgelegt.

Eine Software, die das selber versucht, arbeitet üblicherweise ab Punkt 2 wobei der Mensch, dem die Grafik vor gelegt wird, der Anwender der Software selber ist.

cmds
16.02.2012, 11:30
alternativ bietet reCaptcha auch akustische Ausgabe und/oder Download des Captcha als mp3 Datei